Prediciendo, inyectando y decifrando las llaves de grupo WPA2/802.11

kcdtv · 16-08-2016 01:38:35

¡Verano muy caliente!

Prediciendo, "abusando" y descifrando las llaves de grupo WPA2/802.11*

similar-galleries-bomb-exploding-cartoon-bomb-exploding-clipart-aHr8vI-clipart.gif

* Predicting, Decrypting, and Abusing WPA2/802.11 Group Keys de Mathy VANHOEF y Frank PIESSENS @ USENIX

¿Estoy soñando? Creo que no... Acabo de pincharme varias veces y tengo hambre.
Nunca tengo hambre en mis sueños.
Entonces todo esto es real:
Tenemos entre manos un PDF (link arriba) que presenta al mundo lo que podemos objetivamente considerar como la primera brecha WPA2 de la historia.
Una brecha explotable con material normal y corriente.
Una brecha potencialmente de gran amplitud: El ataque fue exitoso contra los dos tipos de chipsets WiFi estudiados; los Broadcom y los Mediatek (aka Ralink)

No voy a resumir aquí un PDF universitario de 17 paginas antes de todo porque me haría falta volver a leerlo otra y otra vez y de todo modo no llegaría a entender los detalles de las operaciones matemáticas sin que me las explican en detalle..
Lo que voy a (intentar) hacer es poner el PDF en perspectiva y dar elementos para entender la sustancia del proceso
Para que los más ignorantes (como yo), los que no tienen un diploma de la universidad de Lavania (es la universidad dónde investigan los autores) se hagan una idea sobre lo que acaba de ocurrir.
Abrochen el cinturón, nos vamos de excursión en le mundo post apocalíptico WiFi

RC4 NO MORE!

Mathy VANHOEF y Frank PIESSENS no son unos desconocidos.
Ya habían llamado la atención con su ataque contra el WPA(1) con TKIP utilizando la debilidad del algoritmo de cifrado RC4: craking rc4 wpa-tkip
El cifrado rc4 es inseguro ( ilustración con el ataque DROWN: DROWN: El ataque contra https que afecta 33% de los sitios de la web )
Lo hemos aprendido con el protocolo WEP que es vulnerables a ataques estadísticos
Para hacer seguras las redes wifi se ha pasado a WPA pero se ha diseñado varios tipos de WPA.
Uno de estos protocolos fue pensado para permitir la compatibilidad con los puntos de accesos con WEP que no podían manejar el algoritmo de cifrado AES-CCMP (seguro)
Así que se montó un WPA híbrido (WPA-TKIP - se refiere a veces a WPA1) que emplea el algoritmo de cifrado RC4 sabiendo que era potencialmente peligroso y que con las mejoras del hardware y de la potencia de calculo sus días eran contados.
Desde entonces se han publicado trabajos y incluso publicado herramientas (tkipun-ng) para desarrollar ataques contra el protocolo en si.
Esta vez los dos investigadores han enfocado de otra forma su estudio.
No han buscado una debilidad en la PMK (la lave maestra) sino en las llaves de grupos (GMK, GTK)

El talón de Aquilea: El fabricante

No se si fueron inspirados por el ataque pixiewps pero veréis que hay unas similitudes muy llamativas entre ambos casos.
La estrategia empleada es la misma: Buscar una vulnerabilidad debida a la implementación por parte del fabricante (de chipset wifi)
Adivinar que: Otra vez los fabricantes fueron negligente a la hora de "randomisar" las cosas.
Es decir: emplearon generadores de números aleatorios previsibles.
Lo "curioso" es que como en el caso pixiewps sobre realtek no tuvieron otra idea que emplear el tiempo para cifrar a un momento.
Con lo cuál han hecho factible el brute force de las llaves de trabajo.
En el caso broadcom son 2³³ ashes md5: 4 minutos con una beuna tarjeta vídeo

Rogue AP para forzar un "downgrade" WPA

Acabo de hablar de romper el WPA-TKIP pero hablo en el titulo de cifrado WPA2.
No estoy loco, se trata bien de romper protocolo WPA2. wink
Para ello es necesario tener un buen adaptador wifi como los que nos gustan y usar la buena vieja técnica del Rogue AP
Un Rogue AP es simplemente un punto de acceso falso que podemos crear en una linea de ordenes con airbase-ng
Debemos crear un punto de acceso con exactamente el mismo bssid (porque estas cadenas se emplean para en el cifrado WPA)
La única diferencia es que se emplea cifrado WPA-TKIP en lugar de un WPA con AES forzando así a usar RC4 para la creación de las llaves de grupo (que se puede romper como acabamos de ver)

Inyectar tramas Unicast con la GMK en lugar de la PMK

Normalmente no deberíamos poder inyectar trafico sin la PMK porque el cliente no la entendería (le descifrara con la PMK)
No obstante los investigadores fueron capaces de inyectar paquetes cifrado con la GMK utilizando esta estructura en el encapsulado
addr1 = FF:FF:FF:FF:FF:FF
addr2 = Spoofed sender MAC address
addr3 = Spoofed destination MAC address
El AP descifra el paquete con la GMK, lo vuelve a cifrar esta vez con la PMK y lo devuelve.
Podemos cifrar correctamente paquetes sin conocer la PMK utilizando el AP de "traductor"
Se pueden inyectar así paquetes ARP, paquetes IP etc...

Envenenamiento ARP para "downgrade" GMK general

El punto final del ataque consiste en forzar el cifrado de todo el trafico con la GMK en lugar de la PMK
Se engaña la station para que mande el trafico a su propia dirección mac
De este modo no se cifran los pauquetes con la PMK sino la GMK
Se hace con envenenamiento de la cache ARP del cliente
El resultado es que la sation usará como dirección para la puerta de enlace su propia dirección mac (obteniendo así que se cifre con la GMK en lugar de la PMK)

Conclusión

-------------------------------- EDIT ------------------ ERRATUM -----------------------
Algo se me había escapado cuando he redactado el tema y la conclusión no es esta.
Es esta: mensaje 6

Se trata de la amenaza la más seria contra el WPA2 (y el WPA1) que podría revolucionar los ataques WiFi con Rogue AP y Man In The Middle
Los investigadores han logrado

We show that the 802.11 random number generator is flawed, and break several implementations bypredicting its output, and hence also the group key.
Encontrar unas vulnerabilidades que permiten predecir los resultados de los generados de números pseudo aleatorios estudiados (OpenWRT y hostapd se salvan)
We present a downgrade-style attack against the 4-way handshake, allowing one to recover the group key by exploiting weaknesses in the RC4 cipher.
Poner de pie un ataque Rogue AP para forzar el downgrade de WPA2 a WPA1. Se negocia así el handshake usando el cifrado vulnerable RC4 cuyos resultados son predecibles al momento de crear las llaves de grupo GMK, GTK...(las derivan con un briute force de entre 2 y 4 minutos con nvidia GTX980)
We show that the group key can be used to inject and decrypt any (internet) traffic in a Wi-Fi network.
Han demostrado que con esta llave de grupo pueden inyectar y finalmente descifrar todo el trafico WiFi en una red
We propose and study a random number generator that extracts randomness from the wireless channel
Proponen como solución otro generador de números aleatorios

-------------------------------- EDIT ------------------ ERRATUM -----------------------
Algo se me había escapado cuando he redactado el tema y la conclusión no es esta.
Es esta: mensaje 6

La solución propuesta es útil para impedir el ataque en nuevas unidades.
¿Que pasa con la mayoría de los PA ya en actividad?
Fueron puestos en servicio por los ISP y el cliente final no tiene otro recurso que esperar a que el ISP implemente este genrador en une futura actualización
Muchos routeurs de Telefónica, Orange y Vodafone llevan un chispet broadcom o ralink.
Jazztell sería menos tocado a primera vista porque los routers ZTE empelados en los últimos años levan un chispet WiFI realtek.
Esto dicho sabemos que el generador Realtek para el intercambio Diffie Hellman utiliza... la fecha en segundo (brecha pixiewps realtek)
No es una buena señal porque es probable que se use el mismo generador o una variante basándose también en el "tiempo" ,
La primera vulnerabilidad del WPA2. Forzando el downgrade; pero en este juego todo vale.
Se anuncia un verano muy caliente...

-------------------------------- EDIT ------------------ ERRATUM -----------------------
Algo se me había escapado cuando he redactado el tema y la conclusión no es esta.
Es esta: mensage 6

Coronel · 16-08-2016 08:04:26

Gran trabajo Kcdtv, ya daba por sentado que las posibilidades de hackear redes con cifrado WPA AES iban a reducirse con el tiempo, los diccionarios requieren un gran esfuerzo y con cada nuevo router es empezar de nuevo. Pero si esta brecha se generaliza es el principio de una nueva "era" smile . Un saludo.

kcdtv · 16-08-2016 15:13:45

¡[email protected] a wifi-libre Coronel! smile
Es una verdadera bomba. big_smile
El brute force del handshake es una vía muerta si la contraseña es un mínimo correcta, no hace falta que sea buena, solo decente.
Esto es un enfoque nuevo que rompe los esquemas y permite aprovechar en WPA2 estas debilidades del RC4 que se han estudiado en el WPA-TKIP
¡Que arte!

cardi1977 · 16-08-2016 22:16:45

Cada dia se va aprendiendo algo nuevo,y a la espera de nuevos datos, un saludo,

dynyly · 16-08-2016 23:46:39

salu2
esperando mas noticias sobre esto ....gracias como siempre

kcdtv · 18-08-2016 19:34:12

Ups...... tongue
Hay un detalle que se me había escapado y, pues, se puede decir que "tiene su importancia" .... big_smile
Lo dicen al inicio pero luego lo vuelven a mencionar una sola vez en una frase no muy explicita.

We conclude that the 4-way handshake, as defined in the 802.11i standard, is vulnerable to key recovery attacks. However, these attacks seem difficult to pull off against popular implementations.

Dicen que el handshake es vulnerable (por el dwongrade de WPA2 a WPA1) a un ataque para derivar las llaves de grupo.
Añaden algo como "No obstante estos ataques parecen difíciles de llevar(...)"
Es un eufemismo big_smile

Este nuevo ataque sobre handshake combina un ataque estadístico y un brute force.
Como hemos visto la parte brute force se hace en menos de cinco minutos con una tarjeta gráfica nVidia potente (GTX950)
Es factible por la previsibilidad de los resultados obtenidos con los generadoras de números pseudoaleatorios implementados por los fabricantes (usan el tiempo/las fecha para "randomizar" pam )

El problema reside en la parte "ataque estadístico."
Es como para los ataques contra WEP: Necesitamos un cierto numero de vectores de inicialización para poder llevar el ataque con exitó
Lo que significa que necesitamos en este contexto cierto numero de handshakes..
A estas alturas hay dos methodos, uno que es factible si la KEK es constante, otro factible si la KEK cambia (la KEK es una llave secreta de 16bits)

El primer método requiere 2²¹ handshakes para una tasa de éxito de 80%. Son concretamente 2 097 152 de handshakes, que no son pocos.
El problema es que la llave KEK tiene que ser la misma y que cambiara constantemente si desautentificamos un cliente de un punto de acceso.
Obtener mas de dos millones de handshakes con una KEK constante es imposible
El segundo método es un método original que crearon (inspirado de ataque PTW contra WEP) no requiere una KEK constante:
Podemos usar las herramientas para DoS (desautenticar y obtener un handshake) y "inyectar trafico" (DoS) para acelerar el proceso.
Para obtener una buena tasa de éxito se necesitan 2³¹ handshakes: 2 147 483 648
Más de 2 billones de handshakes lo que parece imposible fuera de un escenario de pruebas. Con lo que puede costar pilar un solo handshake... Nada más ni menos que dos billones

Conclusión (bis)

:
Siempre hay que prestar mucha atención a los detalles tongue big_smile
Es efectivamente una vulnerabilidad nueva y explotable con un material gran publico pero muy difícil (por no decir "imposible") de llevar "in the wild" (o sea en la vida real )
Pillar dos billones de handshakes... ¡Ni loco!
Si los fabricantes no hacen nada al respecto (si dejan estos generadores de números aleatorios que no valen para nada) lo que es ahora una "fisura" se transformará en una brecha con el tiempo.
Este método tal cuál, sin una mejora (muy substancial) del ataque estadístico, no debería poder aplicarse concretamente.
Diciendo esto no hay que infravalorar este trabajo que pone el dedo en dónde duele.
Se lleva más de una década implementando un protocolo que se sabe peligroso como si fuera un parche grosero del WEP.
La idea de emplear un downgrade WPA/AES > WPA/TKIP para afrentarse a la fortaleza WPA2 es un jugada inspiradora.
Lo de buscar debilidades no en el protocolo en si sino en su implementación es también un enfoque que ha demostrado ser eficaz (caso pixie dust)
Aunque sea en "escenario de prueba" llegar hasta dónde llegaron, descifrar un paquete de una red WPA2 entre un Asus et un cliente con windows 7, es una primera.
¡Chapeau!

Tema	Respuestas	Vistas	Ultimo mensaje
Configuracion optima de la Alfa Awus036ac por elmenda	6	248	Ayer 02:17:52 por elmenda
Pegado: Pegado:: Wireless Air Cut, auditoria del protocolo wps en Windows por Patcher [ 1 2 3 … 19 ]	473	228432	01-08-2020 17:51:26 por wilson1340
Fluxion: Violación de segmento al elegir ataque tras recoger handhsake por Sunshining777	3	224	29-07-2020 17:06:36 por kcdtv
Pegado: Pegado:: «Belgrano Caridad» la última antena del «Proyecto Belgrano» por Patcher	4	614	27-07-2020 18:00:03 por kcdtv
Hola a todos! Un placer por momon999	3	240	26-07-2020 16:21:29 por kcdtv

Foro Wifi-libre.com

Anuncio

#1 16-08-2016 01:38:35